SpringSecurity系列,第三章:权限控制

最新推荐文章于 2022-10-05 19:34:00 发布
最新推荐文章于 2022-10-05 19:34:00 发布
阅读量296 收藏
点赞数
文章标签: 数据库 java mybatis shiro linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45559694/article/details/119383971
版权

SpringSecurity系列,第三章:权限控制

前面写到一般的权限都是通过用户:角色:权限三层划分的,用户和角色为多对多关系,角色和权限也是多对多的关系。

之前通过在方法上增加@PreAuthorize("hasRole('XXX')")注解,依据用户是否是某个角色来控制用户能否访问该方法。

下面我会记录下通过hasPermission,用户是否拥有某个权限来更细粒度的控制用户对方法的访问权限。

一、创建数据库

/**权限表**/
DROP TABLE IF EXISTS `sys_permission`;
CREATE TABLE `sys_permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '权限ID',
  `name` varchar(45) DEFAULT NULL COMMENT '权限名称',
  `perms` varchar(45) DEFAULT NULL COMMENT '权限标识',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='权限表';


/**用户和权限关联表**/
DROP TABLE IF EXISTS `sys_role_permission`;
CREATE TABLE `sys_role_permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id',
  `role_id` int(11) NOT NULL COMMENT '角色ID',
  `permission_id` int(11) NOT NULL COMMENT '权限ID',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户角色和权限关联表';


/**添加数据**/
INSERT INTO `sys_permission` VALUES (1,'用户新增','sys:user:add'),(2,'用户修改','sys:user:edit'),('3', '角色添加', 'sys:role:add'
),('4', '角色修改', 'sys:role:edit');
INSERT INTO `sys_role_permission` VALUES (1,1,1),(2,1,2),(3,2,3),(4,2,4);

二、Entity

@Data
public class SysPermission implements Serializable {
    private static final long serialVersionUID = -2255788597545068005L;

    private Integer id;

    private String name;

    private String perms;
}



@Data
public class SysRolePermission implements Serializable {
    private static final long serialVersionUID = 5210775380322066314L;

    private Integer id;

    private Integer roleId;

    private Integer permissionId;

}

三、Mapper.java

public interface SysPermissionMapper {

    SysPermission selectPermissionById(Integer id);
}


public interface SysRolePermissionMapper {

    List<SysPermission> selectPermissionByRoleId(Integer roleId);

}

四、Mapper.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.lee.mapper.SysPermissionMapper" >


    <select id="selectPermissionById" parameterType="java.lang.Integer" resultType="com.lee.entity.SysPermission">
        select * from sys_permission where id = #{id}
    </select>

</mapper>



<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.lee.mapper.SysRolePermissionMapper" >

    <select id="selectPermissionByRoleId" parameterType="java.lang.Integer" resultType="com.lee.entity.SysPermission">
        select p.*
        from sys_role_permission rp
        left join sys_permission p on p.id = rp.permission_id
        where rp.role_id = #{roleId}
    </select>

</mapper>

五、service

public interface SysPermissionService {

    SysPermission selectPermissionById(Integer id);
}

@Service
public class SysPermissionServiceImpl implements SysPermissionService {

    @Autowired
    private SysPermissionMapper sysPermissionMapper;

    @Override
    public SysPermission selectPermissionById(Integer id) {
        return sysPermissionMapper.selectPermissionById(id);
    }
}




public interface SysRolePermissionService {

    List<SysPermission> selectPermissionByRoleId(Integer roleId);
}


@Service
public class SysRolePermissionServiceImpl implements SysRolePermissionService {

    @Autowired
    private SysRolePermissionMapper sysRolePermissionMapper;


    @Override
    public List<SysPermission> selectPermissionByRoleId(Integer roleId) {
        return sysRolePermissionMapper.selectPermissionByRoleId(roleId);
    }
}

六、Controller

@ResponseBody
@GetMapping("/user/add")
@PreAuthorize("hasPermission('/user/add','sys:user:add')")
public String printAdminR() {
    return "如果你看见这句话,说明你访问/user/add路径具有sys:user:add权限";
}

@ResponseBody
@GetMapping("/role/edit")
@PreAuthorize("hasPermission('/role/edit','sys:role:edit')")
public String printAdminC() {
    return "如果你看见这句话,说明你访问/role/edit路径具有sys:role:edit权限";
}

七、修改CustomUserdetailService

@Slf4j
@Service
public class CustomUserdetailService implements UserDetailsService {

    @Autowired
    private SysUserService sysUserService;

    @Autowired
    private SysRoleService sysRoleService;

    @Autowired
    private SysUserRoleService sysUserRoleService;

    @Autowired
    private SysRolePermissionService sysRolePermissionService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //加载用户信息
        SysUser sysUser = sysUserService.selectUserByName(username);
        if(sysUser==null){
            log.info("用户名:{} 不存在",username);
            throw new UsernameNotFoundException("用户名不存在!");
        }

        //加载用户角色
//        Collection<GrantedAuthority> authorities = new ArrayList<>();
//        List<SysUserRole> sysUserRoles =  sysUserRoleService.selectRoleByUserId(sysUser.getId());
//        if(sysUserRoles!=null && sysUserRoles.size()>0){
//            for(SysUserRole userRole : sysUserRoles){
//                SysRole sysRole = sysRoleService.selectRoleById(userRole.getRoleId());
//                authorities.add(new SimpleGrantedAuthority(sysRole.getName()));
//            }
//        }


        //加载用户权限信息
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        List<SysUserRole> sysUserRoles = sysUserRoleService.selectRoleByUserId(sysUser.getId());
        if(sysUserRoles!=null && sysUserRoles.size()>0){
            for (SysUserRole userRole : sysUserRoles){
                List<SysPermission> sysPermissions = sysRolePermissionService.selectPermissionByRoleId(userRole.getRoleId());
                if(sysPermissions!=null && sysPermissions.size()>0){
                    for(SysPermission p : sysPermissions){
                        authorities.add(new SimpleGrantedAuthority(p.getPerms()));
                    }
                }
            }
        }


        //返回userDetails的实现类:里边包含了用户信息和权限信息
        return new User(username,sysUser.getPassword(),authorities);
    }
}

八、自定义PermissionEvaluator

我们需要自定义对hasPermission的处理,只要实现PermissionEvaluator接口即可

@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {

    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        
        //获取当前用户
        User user = (User) authentication.getPrincipal();
        
        //获取当前用户权限
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        if(authorities!=null && authorities.size()>0){
            for (GrantedAuthority a : authorities){
                if(permission.equals(a.getAuthority())){
                    return true;
                }
            }
        }

        return false;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        return false;
    }

}

九、加入WebSecurityConfig

将定义的CustomPermissionEvaluator加入WebSecurityConfig:

@Bean
public DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler(){
    DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
    handler.setPermissionEvaluator(new CustomPermissionEvaluator());
    return handler;
}

十、页面新增

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>首页</title>
</head>
<body>

    <h1>登陆成功</h1>
    <a href="/admin">检测ROLE_ADMIN角色</a><br/>
    <a href="/user">检测ROLE_USER角色</a><br/>
    <a href="/user/add">添加用户</a><br/>
    <a href="/role/edit">角色编辑</a><br/>
    <button onclick="window.location.href='/logout'">退出登录</button>

</body>
</html>

十一、测试

浏览器访问:http://127.0.0.1:8081/login.html
用admin登录
访问:添加用户  和  角色编辑

李李李李李葛尔愣
关注
Spring Security 实战内容: RBAC权限控制概念的理解
m0_66876551的博客
04-14 1557
1. 前言 如果我们需要一个完整的权限管理系统就必须了解一下 RBAC (Role-Based Access Control基于角色的访问控制) 的权限控制模型。 2. 为什么需要 RBAC? 在正式讨论 RBAC 模型之前,我们要思考一个问题,为什么我们要做角色权限系统? 答案很明显,一个系统肯定具有不同访问权限的用户。比如付费用户和非付费用户的权限,如果你是 QQ音乐的会员那么你能听高音质的歌曲,如果不是就不能享受某些便利的、优质的服务。那么这是一成不变的吗?又时候为了流量增长或者拉新的需要,我们又可.
【第七篇】SpringSecurity中的权限管理
m0_67403272的博客
05-15 3510
SpringSecurity中的权限管理 SpringSecurity是一个权限管理框架,核心是认证和授权,前面已经系统的给大家介绍过了认证的实现和源码分析,本文重点来介绍下权限管理这块的原理。 一、权限管理的实现 服务端的各种资源要被SpringSecurity权限管理控制我们可以通过注解和标签两种方式来处理。 放开了相关的注解后我们在Controller中就可以使用相关的注解来控制了 /** * JSR250 */ @Controller @RequestMapping("/user") pu.
三种SpringSecurity方法级别权限控制
weixin_30527423的博客
09-15 2004
一 JSR-250注解1、在pom.xml添加<dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> <version>1.0</version></dependenc...
SpringSecurity权限控制
nice_good_boy的博客
04-19 163
web权限方案 1.设置登录的用户名和密码 第一种方式:通过配置文件 第二种方式:通过配置类 第三种方式:自定义编写实现类 2.基于角色或权限的访问 hasauthority方法 在配置类设置当前访问地址的路径 常用注解 @Secured 用户具有某个角色,可以访问方法 1.在启动类中加入注解@EnableGlobalMethodSecurity 2.在controller的方法上面加上@Secured({ROLE_…}) 拥有role角色才可以访问该方法 @PreAuthorize 1.开启注解
spring-security权限管理
weixin_43966076的博客
09-08 227
文章目录前言一、服务器端方法级权限控制1.导入坐标2.sping-security.xml配置3.注解使用二、页面端标签控制权限1.导入坐标2.页面使用注意点 前言 spring-security权限管理 一、服务器端方法级权限控制 1.导入坐标 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> &lt
springboot整合security5自定义处理认证、权限管理
wjs040的博客
07-25 760
首先引入security jar 包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!---...
Spring Security
weixin_38492276的博客
12-17 248
Spring Security:概述 前言        在之前介绍过了Shiro之后,有好多粉丝问SpringSecuritySpring Boot中怎么集成。这个系列我们就和大家分享下有关这方面的知识。 本节大纲 一、什么是SpringSecurity? 二、常用安全框架 一、什么是Spring Security? SpringSecurity是基于Spring AOP和Ser...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBoot、SpringSecurity以及JPA(Java Persistence API),实现了用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
Spring Security in Action
11-22
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
最新发布
程序员小明1024
10-05 1010
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
自定义注解实现RBAC权限校验,不要再说你不会了
小学生波波
01-22 4012
拦截器+自定义注解实现RBAC权限校验,你绝对看得懂
springboot笔记(13)spring-security安全管理-03
小小雨伞的博客
01-14 425
整合security结合数据库资源管理 1.数据库.sql文件 SECURITY /* SQLyog Ultimate v12.4.3 (64 bit) MySQL - 5.7.17-log : Database - security ********************************************************************* */ /*!4010...
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
SpringSecurity 登录用户数据获取
你今天真好看呀
08-21 1789
登录成功后,在后续的业务逻辑汇总,可能还需要获取登录成功的用户对象,如果不使用任何安全管理框架,那么可以将用户信息保存在HttpSession中,以后需要的时候直接从HttpSession中获取数据。SecurityContextHolder 是一个静态方法,意味着我们随时随地都可以获取到登录用户信息,在service层也可以获取到登录用户信息。启动项目,登录成功后,访问/user接口,控制台就会打印出登录用户信息,当然,由于我们目前没有给用户配置角色,所以默认的用户角色为空数组。
Spring Secutity 自定义权限配置
weixin_34290096的博客
07-18 494
Srping Security网上也有很多例子,但基本都是所资源直接配置在XML文件里,限制太大,不够灵活。我们需要的是可以在后台修改资源访问权限,实时生效,才能符合现在大多数系统的需求。 需要引入的依赖 <!-- Spring security --> <dependency> &...
SpringSecurity权限控制
拒绝熬夜啊的博客
11-30 1077
文章目录SpringSecurity权限控制1 数据准备2 创建 POJO、Mapper、Service3 自定义PermissionEvaluator SpringSecurity权限控制 1 数据准备 创建 sys_permission 表并插入数据 CREATE TABLE `sys_permission` ( `id` int(11) NOT NULL AUTO_INCREMENT, `url` varchar(255) DEFAULT NULL, `role_id` int(1
数据库查询权限信息
Leon_Jinhai_Sun的博客
06-08 719
数据库查询权限信息
Spring security 方法级权限控制
山鬼谣的专栏
07-07 2425
环境 springboot:1.5 Intellij IDEA:2021.1 序言 以前只是用到架构师搭好的环境,具体怎么配置,怎么用并不是很清楚; 最近因为项目的原因,研究了下,虽然最终没有用上,但是研究的成果,我得记录下来; 步骤 这里假设已经是springboot项目 依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-st
Spring Security 3.x 教程:自定义配置与权限管理
本篇教程详细介绍了如何在Spring Security 3.x版本中搭建和配置安全措施,适用于Spring 3.1及以上的框架。以下是教学步骤的详细解析: 1. **依赖包引入**: 首先,确保将Spring Security 3.x所需的必要jar包添加到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值